如何保護網路不使用 DHCP 連接壞設備？

我有一個擁有 500 多台電腦的網路，在我所在的地區有很多合作公司，有時會自帶路由器。如果他們以鬼鬼祟祟的方式進行操作並且沒有關閉設備上的 DHCP 服務，那麼許多設備會得到錯誤的地址，並且需要很長時間才能找到它。有什麼解決辦法嗎？

我想到了隔離部門或使用具有單獨子網的 VLAN 建構。我還考慮在主交換機上使用靜態 arp，並將 192.168.0.1 和 192.168.1.1 的條目放入我的 DHCP。這有意義嗎，它會以任何方式保護地址更改嗎？

有很多方法可以保護它：

1. 將您的網路劃分為 VLAN。您可以在必須相互通信的 VLAN 之間設置路由。
2. 設置內部防火牆以不允許來自非授權伺服器的 DHCP 數據包（即使用發件人 IP 檢測它）
3. 使用 802.1x 對連接到網路的每個客戶端進行授權。這是最好的解決方案，但實施起來最慢（您需要手動檢查和添加每個設備）。當然你可以只在可訪問的埠上設置這個，伺服器不需要檢查這個。

沒有靈丹妙藥如何安全地避免不良 DHCP 伺服器並且不限制您的使用者，您必須平衡它。

引用自：https://serverfault.com/questions/733199